Новости ИБ за 16 - 30 мая 2014 года

Блоги:

Дмитрий Бумов затронул тему мнимого чувства защищенности и причины, по которым это происходит.

Алексей Сизов рассказал про способы мошенничеств в ритейле и методах защиты.

Сергей Борисов дал блогерам ИБ советы по написанию новых постов, в случае, если закончились темы.

Обзор кибератак за 1 - 15 мая 2014г. (англ.).

Статьи:

Обоснование необходимости приобретения систем резервного копирования и восстановления данных.

Microsoft выпустила официальное сообщение, касающееся уловки в системном регистре Windows XP, которая позволяет продолжить получать обновления от другой версии ОС, несмотря на окончание цикла поддержки XP.

Обзор приложений для тестирования на проникновение под Android-устройства (англ.)

Распространенные виды мошенничества с использованием спам-рассылок, посвященных азартным играм, а также рекомендации по выявлению подобных видов мошенничества.

Сайт TrueCrypt сообщает о закрытии проекта и предлагает переходить на BitLocker.

Документы:

Глобальное исследование утечек конфиденциальной информации из компаний среднего и малого бизнеса в 2013 году - отчет об исследовании утечек конфиденциальной информации, произошедших в 2013 году и обнародованных в СМИ, иных источниках. Источник: InfoWatch.

Законодательство:

Приказ Фонда социального страхования Российской Федерации от 21 января 2014 г. N 10 г. Москва «Об утверждении Положения о защите персональных данных работников Фонда социального страхования Российской Федерации, обрабатываемых без использования средств автоматизации»

Майский обзор законопроектов в сфере интернет-регулирования.

Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0-2014)

Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0 — 2014» (СТО БР ИББС-1.2-2014)

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» (РС БР ИББС-2.5-2014)

Программное обеспечение:

w3af v1.6 - сканер безопасности веб-приложений.

Аналитика:

Статистика кибератак за апрель – январь 2014. Источник: Hackmageddon.com

Спам в апреле 2014. Источник: Лаборатория Касперского.

Мероприятия:

5-6 июня в Казани пройдет IT & Security Forum 2014.

Ресурсы:

Russian Information Security Club (RISC) – товарищество специалистов по информационной безопасности

Записи выступлений и презентации с PHDays 2014.

Тренировочная игра от Google по поиску XSS-уязвимостей

Новости ИБ за 8 – 16 мая 2014 года

Блоги:

Артём Агеев написал руководство по подготовке организации к проверке Роскомнадзора.

Обзор кибератак за 16 -30 апреля 2014г. (англ.).

Дмитрий Бумов поделился результатами тестирования на проникновение сайта «Российская газета».

Статьи:

10 советов по обеспечению безопасности для малого и среднего бизнеса.

Документы:

Публичный доклад Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций 2013 - отчет о деятельности РКН за 2013 год. Источник: Роскомнадзор.

Безопасность мобильного банкинга: возможность реализации атаки MitM – результаты исследования, в рамках которого рассматриваются ОС Android и iOS. Автор: Дмитрий Евдокимов.

Red Hat Enterprise Linux 6 Benchmark v1.3.0 - руководство по безопасной конфигурации Red Hat Enterprise Linux (RHEL) версий 6.0 – 6.5, установленных на x86 и x64 платформы. Источник: CIS.

Законодательство:

Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор) от 23 декабря 2013 г. N 964 г. Москва «Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре».

Программное обеспечение:

Tor Browser v3.6 -  браузер для анонимного сёрфинга в интернете.

Мероприятия:

17 — 19 мая 2014 г., DEF CON CTF Qualifier 2014.

21 — 22 мая 2014 г. в Москве в Digital October пройдет международный форум по практической безопасности «Positive Hack Days IV».

Ресурсы:

Подкасты о подготовке кадров в области ИБ: Noise Security Bit #6 и Диалоги #поИБэ №7.

Открытая безопасность №11 – подкаст про оценку эффективности проектов по информационной безопасности в компании.

BrowserScan - онлайн-сервис, проверяющий на незащищенность браузеры и все его важные надстройки

http://sms.kaspersky.ru/ - утилиты для расшифровки данных, заблокированных программами-шифровальщиками от Касперского.

Запись вебинара «Безопасность мобильных устройств и приложений».

Презентация «Лучшие практики по ИБ» от Андрея Прозорова.

Юмор. Обезличивание

Источник: http://personal-data.livejournal.com/336631.html

Новости ИБ за 25 апреля – 8 мая 2014 года

Блоги:

Сергей Борисов в юмористической форме указал на ошибки, встречающиеся в различных ассоциациях по информационной безопасности.

Алексей Волков выработал критерии оценки «облачных» провайдеров с точки зрения информационной безопасности.

Михаил Емельянников рекомендует организациям, которые размещают на своём сайте веб-форму для сбора персональных данных, опубликовать политику по обработке персональных данных.

Статьи:

Руководство по эксплуатации уязвимости CSRF (англ.).

Основные проблемы, связанные со сложностью обеспечения информационной безопасности промышленных систем.

11 причин низкой надежности шифрования как способа защиты.

Журналы:

Pentest Magazine Issue 01/2014 (12) - Step by Step from firewall bypassing to VOIP hacking (англ.).

Security Kaizen Magazine Issue 13 – журнал по информационной безопасности (англ.).

eFORENSICS Magazine Issue 2/2014

Журнал "Information Security/ Информационная безопасность" #2, 2014

Документы:

2014 Cost of Data Breach Study: Global Analysis - данные об угрозах безопасности и о важности управления непрерывностью бизнеса для организаций. Источник: IBM (англ.).

OUCH! Меня взломали, что делать? – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

OUCH! Heartbleed - Why Do I Care? – спецвыпуск ежемесячника по информационной безопасности для пользователей, посвященный уязвимости Heartbleed. Источник: SANS (англ.).

10 Things Every Web Application Firewall Should Provide – список требований, предъявляемых WAF, для надежной защиты веб-приложений. Источник: Imperva (англ.).

The Non-Advanced Persistent Threat – описаны способы проведения целенаправленных атак и методы противодействия. Источник: Imperva (англ.).

AppSensor Guide. Application-Specific Real Time Attack Detection & Response v2.0 – проект определяет концепцию и методологию по автоматизации процесса обнаружения вторжений в существующих приложениях. Источник: OWASP (англ.).

ГОСТ Р ИСО/МЭК 29141-2012 «Информационные технологии. Биометрия. Одновременное получение изображений отпечатков десяти пальцев с помощью БиоАПИ». В настоящем стандарте установлены требования к крупномасштабным СКУД, которые требуют получения изображений отпечатков десяти пальцев с в процессе идентификации или проверки в фоновом режиме.

ГОСТ Р 54411-2011 «Информационные технологии. Биометрия. Мультимодальные и другие мультибиометрические технологии». В настоящем стандарте установлены требования к разработке стандартов на мультибиометрические системы, в частности, на различные типы обеъединения.

ГОСТ Р 55235.3-2012 «Практические аспекты менеджмента непрерывности бизнеса. Применение к информационным и коммуникационным технологиям».

Законодательство:

Федеральный закон Российской Федерации от 5 мая 2014 г. N 99-ФЗ «О внесении изменений в главу 4 части первой Гражданского кодекса Российской Федерации и о признании утратившими силу отдельных положений законодательных актов Российской Федерации». Информация о содержании корпоративного договора, заключенного участниками непубличного общества, не подлежит раскрытию и является конфиденциальной.

Приказ Министерства финансов Российской Федерации (Минфин России) от 30 декабря 2013 г. N 142н г. Москва «О порядке и формах направления до 1 июля 2014 года заказчиками информации и документов в реестр контрактов, заключенных заказчиками, и сведений в реестр контрактов, содержащий сведения, составляющие государственную тайну».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 112-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и отдельные законодательные акты Российской Федерации».

Федеральный закон Российской Федерации от 5 мая 2014 г. N 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Блогеров с высокой посещаемостью обязали обеспечивать соблюдение законодательства Российской Федерации на своем ресурсе.

Программное обеспечение:

IronWASP - сканер безопасности для веб-приложений.

oclHashcat-plus v1.20 – бесплатная программа для восстановления паролей по хешу.

WPScan v2.4 – сканер уязвимости для WordPress.

Cuckoo Sandbox v1.1 - система для автоматического исследования вредоносного ПО.

Аналитика:

Исследование по различным аспектам безопасности в веб-студиях/агентствах. Источник: Ruward.

Мобильные угрозы в апреле 2014 года. Источник: Dr.Web

Обзор вирусной активности в апреле 2014 года. Источник: Dr.Web.

Спам в первом квартале 2014. Источник: Лаборатория Касперского.

Мероприятия:
14 мая 11:00 (МСК), тема: «APT атакует!», ведущий: Андрей Арефьев менеджер по продуктам InfoWatch.

8 — 10 мая 2014 г., ASIS CTF Quals 2014.

Ресурсы:

Запись вебинара «Простые и эффективные меры защита сайта от взлома и вирусов».

Диалоги #поИБэ - подкаст о высоких технологиях и кибербезопасности от RISSPA.

Видеозапись семинара по персональным данным, который читал Андрей Прозоров в рамках конференции ITForum 2020.

https://malwr.com/ - онлайн-сервис для анализа вредоносных приложений.

Новости ИБ за 18 - 25 апреля 2014 года

Блоги:

Михаил Емельянников поделился экспертным заключением о возможности использования платформы Microsoft Azure для размещения информационных систем российских операторов, обрабатывающих персональные данные, и содержании основных мероприятий, необходимых для достижения соответствия требованиям российского законодательства в сфере персональных данных.

Обзор кибератак за 1 - 15 апреля 2014г. (англ.).

Статьи:

Mail.Ru Group объявила о старте программы по выплате наград за обнаружение проблем в безопасности своих веб-проектов.

Тест родительских контролей (апрель 2014).

Документы:

Verizon Data Breach Investigations Report 2014 – ежегодный отчет, посвященный компрометации данных. Источник: Verizon (англ.).

WhiteHat Security Website Stats Report 2014 - статистика уязвимостей в веб-приложениях за 2014 год. Источник: WhiteHat. (см. краткий обзор).

Законодательство:

Апрельский обзор законопроектов в сфере интернет-регулирования.

Письмо Банка России от 04.04.2014 N 55-Т «О типичных рисках в платежных системах как рисках нарушения бесперебойности функционирования платежных систем».

Информационное обращение ЦБ «О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении «OpenSSL».

Информационное сообщение ФСТЭК от 23 апреля 2014 г. N 240/24/1433 «О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации».

Программное обеспечение:

WebPwn3r – сканер безопасности веб-приложений.

ModSecurity v2.8.0 – опенсорсный кроссплатформенный WAF(web application firewall) модуль для Apache.

AppVet – веб-приложение для тестирования веб-приложений.

Аналитика:

Годовой отчет Cisco по безопасности за 2014 год – данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Автор: Cisco.

Спам в марте 2014. Источник: Лаборатория Касперского.

Мероприятия:

25 — 27 апреля 2014 г., NorthSec 2014 CTF

Ресурсы:

 «Открытая безопасность» подкаст №10, «Как обманывают вендоры. Опыт глазами интегратора».

Презентация Амара Ганиева с доклада «Секреты чёрного ящика» на RuCTF 2014.

Запись вебинара «Практические вопросы расследований компьютерных инцидентов».

Материалы с ITForum2020.

Юмор. Apple Bug Bounty Program

Источник: https://twitter.com/Swati_THN

Новости ИБ за 11 - 18 апреля 2014 года

Блоги:

Владимир Безмалый поведал о настройках двухэтапной аутентификации в распространенных веб-сервисах.

Алексей Лукацкий высказал свою точку зрения по поводу подхода к оценке соответствия по информационной безопасности: часть 1, часть 2.

Обзор кибератак за 16 - 31 марта 2014г. (англ.).

Статьи:

Данные о банковских картах клиентов «РЖД» и «ВТБ24» попали в открытый доступ из-за уязвимости Heartbleed.

Что делать с Windows XP после окончания официальной поддержки?

Восстановление данных с поврежденного диска, зашифрованного Bitlocker.

Обзор специализированных способов обхода блокировок в интернете.

Сбор информации с помощью Metasploit (англ.).

Документы:

CIS Ubuntu 12.04 LTS Server Benchmark v1.0.0 - руководство по безопасной конфигурации Ubuntu 12.04 LTS Server. Источник: CIS (англ.).

Distributed Denial-of-Service Cyber Attacks, Risk Mitigation, and Additional Resources - краткие рекомендации по борьбе с DDoS. Источник: Federal Financial Institutions Examination Council (англ.).

Browser Security Comparative Analysis Report. Socially Engineered Malware - результаты проверки эффективности популярных веб-браузеров как средства защиты от вредоносных программ, распространяемых с помощью социальной инженерии. Источник: NSS Labs (англ.) + краткий обзор на русском.

Программное обеспечение:

Nmap 6.45 – сканер безопасности

Burp Suite Free Edition v1.6 – инструмент для тестирования безопасности веб-приложений.

Kvasir - платформа управления данным о тестировании на проникновении

RouterPassView v1.53 – утилита для восстановления пароля из backup-файла маршрутизатора.

Microsoft Threat Modeling Tool 2014 - инструмент для моделирования угроз.

Вебинары:

22.04.2014 в 14:00, «Защищаем сайт от взлома и вирусов».

22.04.2014 в 11:00, «Атаки на банк-клиенты».

22.04.2014 в 12:00, «DLP как инструмент для расследований служб экономической и информационной безопасности».

24.04.2014 в 16:00, «Практические вопросы расследований компьютерных инцидентов».

Аналитика:

Развитие информационных угроз в первом квартале 2014 года. Источник: Лаборатория Касперского.

Mandiant M-Trends: Beyond the Breach - отчет по угрозам за 2013 год. Источник: Mandiant (англ.).

HP Security Research Cyber Risk Report 2013 – исследование, в котором описаны риски и угрозы в сфере информационной безопасности за прошлый год. Источнки: HP (англ.).

Global Phishing Survey: Trends and Domain Name Use in 2H2013 - результаты исследования фишинговой деятельности во втором квартале 2013 года. Источник: Anti-Phishing Working Group (англ.).

Мероприятия:

18 — 20 апреля 2014 г., NotSoSecure CTF.

Ресурсы:

PunkSPIDER - веб-сервис по поиску уязвимостей с помощью поисковой оптимизации.

Noise Security Bit #5 -  подкаст о конференции Chaos Communication Congress (ССС).

Презентация Андрея Прозорова с мастер-класса, который проходил в рамках конференции ITForum 2020.